Plataforma
php
Componente
totara-lms
Corrigido em
13.0.1
13.1.1
13.2.1
13.3.1
13.4.1
13.5.1
13.6.1
13.7.1
13.8.1
13.9.1
13.10.1
13.11.1
13.12.1
13.13.1
13.14.1
13.15.1
13.16.1
13.17.1
13.18.1
13.19.1
13.20.1
13.21.1
13.22.1
13.23.1
13.24.1
13.25.1
13.26.1
13.27.1
13.28.1
13.29.1
13.30.1
13.31.1
13.32.1
13.33.1
13.34.1
13.35.1
13.36.1
13.37.1
13.38.1
13.39.1
13.40.1
13.41.1
13.42.1
13.43.1
13.44.1
13.45.1
14.0.1
14.1.1
14.2.1
14.3.1
14.4.1
14.5.1
14.6.1
14.7.1
14.8.1
14.9.1
14.10.1
14.11.1
14.12.1
14.13.1
14.14.1
14.15.1
14.16.1
14.17.1
14.18.1
14.19.1
14.20.1
14.21.1
14.22.1
14.23.1
14.24.1
14.25.1
14.26.1
14.27.1
14.28.1
14.29.1
14.30.1
14.31.1
14.32.1
14.33.1
14.34.1
14.35.1
14.36.1
14.37.1
15.0.1
15.1.1
15.2.1
15.3.1
15.4.1
15.5.1
15.6.1
15.7.1
15.8.1
15.9.1
15.10.1
15.11.1
15.12.1
15.13.1
15.14.1
15.15.1
15.16.1
15.17.1
15.18.1
15.19.1
15.20.1
15.21.1
15.22.1
15.23.1
15.24.1
15.25.1
15.26.1
15.27.1
15.28.1
15.29.1
15.30.1
15.31.1
15.32.1
16.0.1
16.1.1
16.2.1
16.3.1
16.4.1
16.5.1
16.6.1
16.7.1
16.8.1
16.9.1
16.10.1
16.11.1
16.12.1
16.13.1
16.14.1
16.15.1
16.16.1
16.17.1
16.18.1
16.19.1
16.20.1
16.21.1
16.22.1
16.23.1
16.24.1
16.25.1
16.26.1
17.0.1
17.1.1
17.2.1
17.3.1
17.4.1
17.5.1
17.6.1
17.7.1
17.8.1
17.9.1
17.10.1
17.11.1
17.12.1
17.13.1
17.14.1
17.15.1
17.16.1
17.17.1
17.18.1
17.19.1
17.20.1
18.0.1
18.1.1
18.2.1
18.3.1
18.4.1
18.5.1
18.6.1
18.7.1
Uma vulnerabilidade problemática foi identificada no Totara LMS, afetando versões até 18.7. Esta falha de Cross-Site Request Forgery (CSRF) reside em um componente desconhecido do seletor de usuário, permitindo que atacantes iniciem requisições não autorizadas. A atualização para as versões 13.46, 14.38, 15.33, 16.27, 17.21 e 18.8 resolve essa vulnerabilidade.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante execute ações em nome de um usuário autenticado no Totara LMS, sem o conhecimento ou consentimento desse usuário. Isso pode incluir a modificação de configurações do sistema, a criação ou exclusão de usuários, ou a alteração de dados sensíveis. O impacto potencial é significativo, especialmente em ambientes onde o LMS é usado para gerenciar informações confidenciais ou para fornecer treinamento crítico. A complexidade do ataque é considerada alta, e a exploração é difícil, mas a divulgação pública da vulnerabilidade aumenta o risco de exploração.
A vulnerabilidade foi divulgada publicamente em 18 de abril de 2024. A exploração é considerada difícil, mas a divulgação pública aumenta o risco de que atacantes desenvolvam e utilizem exploits. Não há informações disponíveis sobre campanhas de exploração ativas ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação deste documento.
Organizations and educational institutions utilizing Totara LMS, particularly those running versions prior to 18.8, are at risk. Shared hosting environments where multiple Totara LMS instances reside on the same server could amplify the impact if one instance is compromised.
• wordpress / composer / npm:
grep -r "User Selector" /var/www/totara/• generic web:
curl -I https://your-totara-instance/user/selector | grep -i "csrf-token"disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização do Totara LMS para uma versão corrigida (13.46, 14.38, 15.33, 16.27, 17.21 ou 18.8). Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a validação rigorosa de tokens CSRF em todas as requisições críticas. Implementar políticas de segurança de navegador que restrinjam o envio de requisições cross-origin pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando se as requisições críticas exigem tokens CSRF válidos.
Atualize o Totara LMS para a versão 13.46, 14.38, 15.33, 16.27, 17.21 ou 18.8, ou para uma versão posterior. Isso corrigirá a vulnerabilidade de Cross-Site Request Forgery (CSRF) no seletor de usuários. Recomenda-se fazer um backup antes de atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-3932 is a cross-site request forgery vulnerability affecting Totara LMS versions up to 18.7, allowing attackers to potentially perform actions as a logged-in user.
You are affected if you are running Totara LMS versions 18.7 or earlier. Upgrade to version 18.8 to mitigate the risk.
Upgrade Totara LMS to version 18.8 or later. Consider implementing CSRF tokens and input validation as interim measures.
While no active campaigns are confirmed, the vulnerability has been publicly disclosed, increasing the potential for exploitation.
Refer to the Totara LMS security advisory page for the latest information and updates: [https://totaralms.com/security/](https://totaralms.com/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.